Security Command Center est la base de données liée à la sécurité et aux risques pour Google Cloud. Security Command Center comprend un tableau de bord des risques et un système d'analyse qui permet de repérer, comprendre et éliminer les menaces pesant sur les données et la sécurité Google Cloud au sein d'une organisation.
Google Cloud Armor est intégré automatiquement à Security Command Center et exporte deux résultats vers le tableau de bord Security Command Center : Pic de trafic autorisé et Augmentation du taux de refus. Ce guide décrit les résultats et explique comment les interpréter.
Si Google Cloud Armor n'est pas déjà activé dans Security Command Center, consultez la page Configurer Security Command Center. Les résultats ne s'affichent dans Security Command Center que pour les projets dont le Security Command Center est activé au niveau de l'organisation.
Résultat indiquant un pic de trafic autorisé
Le trafic autorisé se traduit par des requêtes HTTP(S) correctement formées destinées à atteindre vos services de backend après l'application d'une stratégie de sécurité Google Cloud Armor.
Le résultat Pic de trafic autorisé vous avertit d'un pic de trafic autorisé par service de backend. Un résultat est généré en cas d'augmentation soudaine du nombre autorisé de requêtes par seconde (RPS) par rapport au volume normal observé dans l'historique récent. Les RPS qui constituaient le pic et les RPS de l'historique récent sont fournies dans le cadre du résultat.
Cas d'utilisation : attaques L7 potentielles
Les attaques par déni de service distribué (DDoS) se produisent lorsque des pirates informatiques envoient de gros volumes de requêtes pour surcharger un service cible. Le trafic associé à une attaque DDoS de couche 7 présente généralement un pic du nombre de requêtes par seconde.
Un résultat Pic de trafic autorisé identifie le service de backend vers lequel le pic de RPS est dirigé et fournit les caractéristiques du trafic qui ont amené Google Cloud Armor à le classer en tant que pic de RPS. Utilisez ces informations pour déterminer:
- Si une attaque DDoS potentielle de couche 7 est en cours.
- Le Service ciblé.
- Les actions que vous pouvez entreprendre pour limiter les attaques potentielles
Voici une capture d'écran d'un exemple de résultat indiquant un pic de trafic autorisé dans le tableau de bord Security Command Center.
Google Cloud calcule les valeurs Long_Term_Allowed_RPS et Short_Term_Allowed_RPS en fonction des informations historiques de Google Cloud Armor.
Résultat indiquant une augmentation du taux de refus
Le résultat Augmentation du taux de refus vous indique que Google Cloud Armor bloque une augmentation du ratio de trafic en raison d'une règle configurée par l'utilisateur dans une stratégie de sécurité. Bien que le refus soit attendu et qu'il n'affecte pas le service de backend, ce résultat permet de vous alerter en cas d'augmentation du trafic indésirable et potentiellement malveillant ciblant vos applications. Les RPS du trafic refusé et le trafic total entrant sont fournies dans le cadre des résultats.
Cas d'utilisation : atténuer les attaques L7
Le résultat Augmentation du taux de refus vous permet de voir à la fois l'impact des stratégies d'atténuation efficaces et les changements significatifs dans le comportement des clients malveillants. Le résultat identifie le backend vers lequel le trafic refusé a été dirigé et fournit les caractéristiques du trafic qui ont amené Google Cloud Armor à générer ce résultat. Utilisez ces informations pour évaluer si le trafic refusé doit être examiné en détail pour renforcer davantage vos mesures d'atténuation.
Voici une capture d'écran d'un exemple de résultat Augmentation du taux de refus affiché dans le tableau de bord Security Command Center.
Google Cloud calcule les valeurs Long_Term_Denied_RPS et Long_Term_Inbound_RPS en fonction des informations historiques de Google Cloud Armor.
Google Cloud Armor Adaptive Protection
Adaptive Protection envoie des données de télémétrie à Security Command Center. Pour en savoir plus sur les résultats d'Adaptive Protection, consultez la section Surveillance, alertes et journalisation dans la présentation d'Adaptive Protection.
Une fois le trafic revenu à la normale
Les résultats générés par Security Command Center sont des notifications indiquant qu'un comportement particulier a été observé à un moment donné. Aucune notification n'est envoyée lorsque ce comportement disparaît.
Les résultats existants peuvent être mis à jour si les caractéristiques du trafic actuel augmentent considérablement par rapport aux caractéristiques existantes. L'absence de résultat de suivi signifie que le comportement a disparu ou bien que le volume de trafic (autorisé ou refusé) n'a pas augmenté de manière substantielle après la génération du résultat initial.
Étapes suivantes
- Résoudre les problèmes
- Utiliser la documentation de référence sur le langage des règles personnalisées